AWS Control Tower AWS アカウント の について - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower AWS アカウント の について

AWS アカウント は、所有するすべてのリソースのコンテナです。これらのリソースには、アカウントによって受け入れられる AWS Identity and Access Management (IAM) ID が含まれます。これにより、そのアカウントにアクセスできるユーザーを決定します。 ID IAM には、ユーザー、グループ、ロールなどが含まれます。AWS Control Tower での IAM、ユーザー、ロール、ポリシーの操作の詳細については、AWS「Control Tower での Identity and Access Management」を参照してください。

リソースとアカウントの作成時間

AWS Control Tower がアカウントを作成または登録すると、Account Factory テンプレートの形式のリソースやランディングゾーン内の他のリソースなど、アカウントの必要最小限のリソース設定がデプロイされます。これらのリソースには、IAMロール、 AWS CloudTrail 証跡、Service Catalog プロビジョニング済み製品、IAMIdentity Center ユーザーなどがあります。 AWSControl Tower は、新しいアカウントがメンバーアカウントになる予定の組織単位 (OU) のリソースを、コントロール設定で必要とされるとおりにデプロイします。

AWS Control Tower は、ユーザーに代わってこれらのリソースのデプロイを調整します。デプロイを完了するにはリソースごとに数分かかる場合があるため、アカウントを作成または登録する前に作業の合計時間を考慮してください。アカウントのリソースの管理の詳細については、「AWS Control Tower リソースの作成と変更に関するガイダンス」を参照してください。

既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項

をセキュリティアカウントまたはログ記録アカウント AWS アカウント として受け入れる前に、AWSControl Tower は Control Tower AWS の要件と競合するリソースがないかアカウントをチェックします。例えば、AWSControl Tower が必要とするのと同じ名前のログバケットがあるとします。また、AWSControl Tower は、アカウントがリソースをプロビジョニングできることを検証します。たとえば、 AWS Security Token Service (AWS STS) が有効になっていること、アカウントが停止されていないこと、AWSControl Tower がアカウント内でリソースをプロビジョニングするアクセス許可を持っていることを確認します。

AWS Control Tower は、指定したログ記録アカウントとセキュリティアカウントの既存のリソースを削除しません。ただし、 AWS リージョン 拒否機能を有効にすると、リージョン拒否コントロールは拒否されたリージョンのリソースへのアクセスを禁止します。

共有アカウントについて

AWS Control Tower には、管理アカウント、監査アカウント、ログアーカイブアカウントの 3 つの特別な AWS アカウント が関連付けられています。これらのアカウントは通常、共有アカウントと呼ばれ、場合によってはコアアカウントと呼ばれることもあります。

  • ランディングゾーンのセットアップ時に、監査アカウントとログアーカイブアカウントの名前をカスタマイズすることを選択できます。アカウント名の変更については、「外部で AWS Control Tower リソース名を変更する」を参照してください。

  • 最初のランディングゾーンのセットアッププロセス中に、既存の を AWS Control Tower のセキュリティアカウントまたはログ記録アカウント AWS アカウント として指定することもできます。このオプションを使用すると、AWSControl Tower で新しい共有アカウントを作成する必要がなくなります。(これは 1 回限りの選択です)。

共有アカウントおよび関連リソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

管理アカウント

これにより AWS Control Tower が AWS アカウント 起動します。デフォルトでは、このアカウントのルートユーザーと、このアカウントのIAMユーザーまたはIAM管理者ユーザーは、ランディングゾーン内のすべてのリソースにフルアクセスできます。

注記

ベストプラクティスとして、このアカウントのルートユーザーまたは管理者ユーザーとしてサインインするのではなく、AWSControl Tower コンソールで管理機能を実行するときは、IAM管理者権限を持つ IAM Identity Center ユーザーとしてサインインすることをお勧めします。

管理アカウントで使用できるロールとリソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

ログアーカイブアカウント

ログアーカイブ共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

このアカウントには、ランディングゾーン内の他のすべてのアカウントのすべての AWS CloudTrail および AWS Config ログファイルのコピーを保存するための中央 Amazon S3 バケットが含まれています。ベストプラクティスとして、ログアーカイブアカウントへのアクセスを制限することをお勧めします。コンプライアンスと調査を担当し、それに関連するセキュリティツールまたは監査ツールを使用するチームに制限します。このアカウントは、自動セキュリティ監査や AWS Config ルール、Lambda 関数などのカスタム をホストして修復アクションを実行するために使用できます。

Amazon S3 バケットポリシー

AWS Control Tower ランディングゾーンバージョン 3.3 以降では、アカウントは Audit バケットへの書き込みアクセス許可の aws:SourceOrgID条件を満たす必要があります。この条件により、 は組織内のアカウントに代わって CloudTrail のみ S3 バケットにログを書き込むことができます。これにより、組織外の CloudTrail ログが AWS Control Tower S3 バケットに書き込まれなくなります。詳細については、「AWS Control Tower ランディングゾーンバージョン 3.3」を参照してください。

ログアーカイブアカウントで使用可能なロールとリソースの詳細については、「ログアーカイブアカウントのリソース」を参照してください。

注記

これらのログは変更できません。アカウントアクティビティに関連する監査とコンプライアンス調査の目的で、すべてのログが保存されます。

監査アカウント

この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

監査アカウントは、セキュリティとコンプライアンスのチームに制限することをお勧めします。チームは、ランディングゾーン内のすべてのアカウントに対して監査人 (読み取り専用) と管理者 (フルアクセス) というアカウント横断的なロールを持ちます。このようなロールは、セキュリティとコンプライアンスのチームが次の目的で使用するためのものです。

  • カスタム AWS Config ルールの Lambda 関数のホスティングなどの AWS メカニズムを使用して監査を実行します。

  • 修復アクションなど、自動化されたセキュリティ操作を実行します。

監査アカウントは、Amazon Simple Notification Service (Amazon SNS) サービスを通じて通知も受け取ります。次の 3 つのカテゴリの通知を受け取ることができます。

  • すべての設定イベント – このトピックでは、ランディングゾーン内のすべてのアカウントからのすべての CloudTrail および AWS Config 通知を集計します。

  • セキュリティ通知の集約 – このトピックでは、特定の CloudWatch イベント、 AWS Config ルール コンプライアンスステータス変更イベント、および GuardDuty 検出結果からのすべてのセキュリティ通知を集約します。

  • ドリフト通知 – このトピックでは、ランディングゾーン内のすべてのアカウント、ユーザー、、OUsおよび SCPs で検出されたすべてのドリフト警告を集計します。ドリフトの詳細については、「AWS Control Tower でドリフトを検出して解決する」を参照してください。

メンバーアカウント内でトリガーされる監査通知は、ローカル Amazon SNSトピックにアラートを送信することもできます。この機能により、アカウント管理者は個々のメンバーアカウントに固有の監査通知をサブスクライブできます。そのため、管理者は個々のアカウントに影響する問題を解決しながら、一元管理された監査アカウントにすべてのアカウント通知を集約できます。詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

監査アカウントで使用できるロールとリソースの詳細については、「アカウントリソースを監査する」を参照してください。

プログラムによる監査の詳細については、AWS「Control Tower 監査アカウントのプログラムによるロールと信頼関係」を参照してください。

重要

監査アカウント用に指定した E メールアドレスは、AWSControl Tower で AWS リージョン サポートされているすべての からAWS 通知 - サブスクリプション確認 E メールを受信します。監査アカウントでコンプライアンス E メールを受信するには、AWSControl Tower で AWS リージョン サポートされている各 E メールから、各 E メール内のサブスクリプションの確認リンクを選択する必要があります。